ORF反垃圾邮件系统

邮件服务器-邮件系统-邮件技术论坛(BBS)

 找回密码
 会员注册
查看: 5908|回复: 9
打印 上一主题 下一主题

常见windows 2000系统进程描述

[复制链接]
跳转到指定楼层
顶楼
发表于 2003-6-23 15:54:22 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
最基本的系统进程(也就是说,这些进程是系统运行的基本条件,有了这些进程,系统就能正常运行): <br>
smss.exe Session Manager <br>
csrss.exe 子系统服务器进程 <br>
winlogon.exe 管理用户登录 <br>
services.exe 包含很多系统服务 <br>
lsass.exe 管理 IP 安全策略以及启动 ISAKMP/Oakley (IKE) 和 IP 安全驱动程序。(系统服务) <br>
产生会话密钥以及授予用于交互式客户/服务器验证的服务凭据(ticket)。(系统服务) <br>
svchost.exe 包含很多系统服务 <br>
svchost.exe <br>
SPOOLSV.EXE 将文件加载到内存中以便迟后打印。(系统服务) <br>
explorer.exe 资源管理器 <br>
internat.exe 托盘区的拼音图标 <br>
附加的系统进程(这些进程不是必要的,你可以根据需要通过服务管理器来增加或减少): <br>
mstask.exe 允许程序在指定时间运行。(系统服务) <br>
regsvc.exe 允许远程注册表操作。(系统服务) <br>
winmgmt.exe 提供系统管理信息(系统服务)。 <br>
inetinfo.exe 通过 Internet 信息服务的管理单元提供 FTP 连接和管理。(系统服务) <br>
tlntsvr.exe 允许远程用户登录到系统并且使用命令行运行控制台程序。(系统服务) <br>
允许通过 Internet 信息服务的管理单元管理 Web 和 FTP 服务。(系统服务) <br>
tftpd.exe 实现 TFTP Internet 标准。该标准不要求用户名和密码。远程安装服务的一部分。(系统服务) <br>
termsrv.exe 提供多会话环境允许客户端设备访问虚拟的 Windows 2000 Professional 桌面会话以及运行在服务器上的基 <br>
于 Windows 的程序。(系统服务) <br>
dns.exe 应答对域名系统(DNS)名称的查询和更新请求。(系统服务) <br>
以下服务很少会用到,上面的服务都对安全有害,如果不是必要的应该关掉 <br>
tcpsvcs.exe 提供在 PXE 可远程启动客户计算机上远程安装 Windows 2000 Professional 的能力。(系统服务) <br>
支持以下 TCP/IP 服务:Character Generator, Daytime, Discard, Echo, 以及 Quote of the Day。(系统服务) <br>
ismserv.exe 允许在 Windows Advanced Server 站点间发送和接收消息。(系统服务) <br>
ups.exe 管理连接到计算机的不间断电源(UPS)。(系统服务) <br>
wins.exe 为注册和解析 NetBIOS 型名称的 TCP/IP 客户提供 NetBIOS 名称服务。(系统服务) <br>
llssrv.exe License Logging Service(system service) <br>
ntfrs.exe 在多个服务器间维护文件目录内容的文件同步。(系统服务) <br>
RsSub.exe 控制用来远程储存数据的媒体。(系统服务) <br>
locator.exe 管理 RPC 名称服务数据库。(系统服务) <br>
lserver.exe 注册客户端许可证。(系统服务) <br>
dfssvc.exe 管理分布于局域网或广域网的逻辑卷。(系统服务) <br>
clipsrv.exe 支持“剪贴簿查看器”,以便可以从远程剪贴簿查阅剪贴页面。(系统服务) <br>
msdtc.exe 并列事务,是分布于两个以上的数据库,消息队列,文件系统,或其它事务保护资源管理器。(系统服务) <br>
faxsvc.exe 帮助您发送和接收传真。(系统服务) <br>
cisvc.exe Indexing Service(system service) <br>
dmadmin.exe 磁盘管理请求的系统管理服务。(系统服务) <br>
mnmsrvc.exe 允许有权限的用户使用 NetMeeting 远程访问 Windows 桌面。(系统服务) <br>
netdde.exe 提供动态数据交换 (DDE) 的网络传输和安全特性。(系统服务) <br>
smlogsvc.exe 配置性能日志和警报。(系统服务) <br>
rsvp.exe 为依赖质量服务(QoS)的程序和控制应用程序提供网络信号和本地通信控制安装功能。(系统服务) <br>
RsEng.exe 协调用来储存不常用数据的服务和管理工具。(系统服务) <br>
RsFsa.exe 管理远程储存的文件的操作。(系统服务) <br>
grovel.exe 扫描零备份存储(SIS)卷上的重复文件,并且将重复文件指向一个数据存储点,以节省磁盘空间。(系统服务) <br>
SCardSvr.exe 对插入在计算机智能卡阅读器中的智能卡进行管理和访问控制。(系统服务) <br>
snmp.exe 包含代理程序可以监视网络设备的活动并且向网络控制台工作站汇报。(系统服务) <br>
snmptrap.exe 接收由本地或远程 SNMP 代理程序产生的陷阱消息,然后将消息传递到运行在这台计算机上 SNMP 管理程序 <br>
。(系统服务) <br>
UtilMan.exe 从一个窗口中启动和配置辅助工具。(系统服务) <br>
msiexec.exe 依据 .MSI 文件中包含的命令来安装、修复以及删除软件。(系统服务) <br>
<br>
<br>
<br>
详细说明: <br>
<br>
<br>
win2k运行进程 <br>
Svchost.exe <br>
Svchost.exe文件对那些从动态连接库中运行的服务来说是一个普通的主机进程名。Svhost.exe文件定位 <br>
在系统的%systemroot%\system32文件夹下。在启动的时候,Svchost.exe检查注册表中的位置来构建需要 <br>
加载的服务列表。这就会使多个Svchost.exe在同一时间运行。每个Svchost.exe的回话期间都包含一组服务, <br>
以至于单独的服务必须依靠Svchost.exe怎样和在那里启动。这样就更加容易控制和查找错误。 <br>
Svchost.exe 组是用下面的注册表值来识别。 <br>
<br>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost <br>
每个在这个键下的值代表一个独立的Svchost组,并且当你正在看活动的进程时,它显示作为一个单独的 <br>
例子。每个键值都是REG_MULTI_SZ类型的值而且包括运行在Svchost组内的服务。每个Svchost组都包含一个 <br>
或多个从注册表值中选取的服务名,这个服务的参数值包含了一个ServiceDLL值。 <br>
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Service <br>
<br>
更多的信息 <br>
为了能看到正在运行在Svchost列表中的服务。 <br>
开始-运行-敲入cmd <br>
然后在敲入 tlist -s (tlist 应该是win2k工具箱里的冬冬) <br>
Tlist 显示一个活动进程的列表。开关 -s 显示在每个进程中的活动服务列表。如果想知道更多的关于 <br>
进程的信息,可以敲 tlist pid。 <br>
<br>
Tlist 显示Svchost.exe运行的两个例子。 <br>
0 System Process <br>
8 System <br>
132 smss.exe <br>
160 csrss.exe Title: <br>
180 winlogon.exe Title: NetDDE Agent <br>
208services.exe <br>
Svcs: AppMgmt,Browser,Dhcp,dmserver,Dnscache,Eventlog,lanmanserver,LanmanWorkstation,LmHosts,Messenger,PlugPlay,ProtectedStorage,seclogon,TrkWks,W32Time,Wmi <br>
220 lsass.exe Svcs: Netlogon,PolicyAgent,SamSs <br>
404 svchost.exe Svcs: RpcSs <br>
452 spoolsv.exe Svcs: Spooler <br>
544 cisvc.exe Svcs: cisvc <br>
556 svchost.exe Svcs: EventSystem,Netman,NtmsSvc,RasMan,SENS,TapiSrv <br>
580 regsvc.exe Svcs: RemoteRegistry <br>
596 mstask.exe Svcs: Schedule <br>
660 snmp.exe Svcs: SNMP <br>
728 winmgmt.exe Svcs: WinMgmt <br>
852 cidaemon.exe Title: OleMainThreadWndName <br>
812 explorer.exe Title: Program Manager <br>
1032 OSA.EXE Title: Reminder <br>
1300 cmd.exe Title: D:\WINNT5\System32\cmd.exe - tlist -s <br>
1080 MAPISP32.EXE Title: WMS Idle <br>
1264 rundll32.exe Title: <br>
1000 mmc.exe Title: Device Manager <br>
1144 tlist.exe <br>
在这个例子中注册表设置了两个组。 <br>
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost: <br>
netsvcs: Reg_Multi_SZ: EventSystem Ias Iprip Irmon Netman Nwsapagent Rasauto Rasman Remoteaccess SENS Sharedaccess Tapisrv Ntmssvc <br>
rpcss :Reg_Multi_SZ: RpcSs <br>
<br>
smss.exe <br>
<br>
csrss.exe <br>
<br>
这个是用户模式Win32子系统的一部分。csrss代表客户/服务器运行子系统而且是一个基本的子系统 <br>
必须一直运行。csrss 负责控制windows,创建或者删除线程和一些16位的虚拟MS-DOS环境。 <br>
<br>
explorer.exe <br>
这是一个用户的shell(我实在是不知道怎么翻译shell),在我们看起来就像任务条,桌面等等。这个 <br>
进程并不是像你想象的那样是作为一个重要的进程运行在windows中,你可以从任务管理器中停掉它,或者重新启动。 <br>
通常不会对系统产生什么负面影响。 <br>
<br>
internat.exe <br>
<br>
这个进程是可以从任务管理器中关掉的。 <br>
internat.exe在启动的时候开始运行。它加载由用户指定的不同的输入点。输入点是从注册表的这个位置 <br>
HKEY_USERS\.DEFAULT\Keyboard Layout\Preload 加载内容的。 <br>
internat.exe 加载“EN”图标进入系统的图标区,允许使用者可以很容易的转换不同的输入点。 <br>
当进程停掉的时候,图标就会消失,但是输入点仍然可以通过控制面板来改变。 <br>
<br>
lsass.exe <br>
这个进程是不可以从任务管理器中关掉的。 <br>
这是一个本地的安全授权服务,并且它会为使用winlogon服务的授权用户生成一个进程。这个进程是 <br>
通过使用授权的包,例如默认的msgina.dll来执行的。如果授权是成功的,lsass就会产生用户的进入 <br>
令牌,令牌别使用启动初始的shell。其他的由用户初始化的进程会继承这个令牌的。 <br>
<br>
mstask.exe <br>
这个进程是不可以从任务管理器中关掉的。 <br>
这是一个任务调度服务,负责用户事先决定在某一时间运行的任务的运行。 <br>
<br>
smss.exe <br>
这个进程是不可以从任务管理器中关掉的。 <br>
这是一个会话管理子系统,负责启动用户会话。这个进程是通过系统进程初始化的并且对许多活动的, <br>
包括已经正在运行的Winlogon,Win32(Csrss.exe)线程和设定的系统变量作出反映。在它启动这些 <br>
进程后,它等待Winlogon或者Csrss结束。如果这些过程时正常的,系统就关掉了。如果发生了什么 <br>
不可预料的事情,smss.exe就会让系统停止响应(就是挂起)。 <br>
<br>
spoolsv.exe <br>
这个进程是不可以从任务管理器中关掉的。 <br>
缓冲(spooler)服务是管理缓冲池中的打印和传真作业。 <br>
<br>
service.exe <br>
这个进程是不可以从任务管理器中关掉的。 <br>
大多数的系统核心模式进程是作为系统进程在运行。 <br>
<br>
System Idle Process <br>
这个进程是不可以从任务管理器中关掉的。 <br>
这个进程是作为单线程运行在每个处理器上,并在系统不处理其他线程的时候分派处理器的时间。 <br>
<br>
taskmagr.exe <br>
这个进程是可以在任务管理器中关掉的。 <br>
这个进程就是任务管理器。 <br>
<br>
winlogon.exe <br>
这个进程是管理用户登录和推出的。而且winlogon在用户按下CTRL+ALT+DEL时就激活了,显示安全对话框。 <br>
<br>
winmgmt.exe <br>
winmgmt是win2000客户端管理的核心组件。当客户端应用程序连接或当管理程序需要他本身的服务时这个进程初始化 <br>
沙发
 楼主| 发表于 2003-6-23 16:12:55 | 只看该作者

Re:Email邮件头揭密

五、信封头 <br>
<br>
上面关于SMTP的讨论部分提到了“消息”头和“信封”头的不同之处。这种区别和导致的后果将在这里详细地讨论。 <br>
<br>
简单地说,“信封”头实际上是由接收消息的邮件服务器产生的,而不是发送者服务器。按照这个定义,“Received:”头是信封头,而一般来说常常使用"envelope From"和"envelope To"来指示它们。 <br>
<br>
"envelope From"头是从MAIL FROM命令得到的。如发送者邮件服务器发出命令MAIL FROM: ideal@linuxaid.com.cn,则接收者服务器则产生一个"envelope From"头:>From ideal@linuxaid.com.cn。 <br>
<br>
注意这里少了一个冒号—"From"而不是"From:"。也就是说信封头在其后没有冒号。当然这个惯例并不是标准,但是这时一个值得注意的惯例。 <br>
<br>
对应的是"envelope To"同样来自于RCPT TO命令。如果发送者服务器发出命令RCPT TO: ideal@btamail.net.cn。则"envelope To"为ideal@btamail.net.cn。一般来说实际上并没有这样一个邮件头,它常常是包含在Received:头中。 <br>
<br>
存在信封信息的一个重要结果就是消息From:和To:变得毫无意义。From:头是由发送者提供的,同样To:也是由发送者提供的。因此邮件仅仅基于"envelope To"来进行转发路由,而不是基于消息To:。 <br>
<br>
为了从实际中理解这个概念,看看下面这样的邮件传输: <br>
<br>
HELO galangal.org <br>
250 mail.zky.ac.cn Hello linuxaid.com.cn [202.99.11.120], pleased to meet you <br>
MAIL FROM: forged-address@galangal.org <br>
250 forged-address@galangal.org... Sender ok <br>
RCPT TO: lisi@zky.ac.cn <br>
250 lisi@zky.ac.cn... Recipient OK <br>
DATA <br>
354 Enter mail, end with "." on a line by itself <br>
From: another-forged-address@lemongrass.org <br>
To: (这里你的地址被隐瞒以实现秘密邮件转发和骚扰) <br>
. <br>
250 OAA08757 Message accepted for delivery <br>
<br>
下面是对应的邮件头: <br>
<br>
>From forged-address@galangal.org <br>
Received: from galangal.org ([202.99.11.120]) by mail.zky.ac.cn (8.8.5) for <tmh@zky.ac.cn>... <br>
From: another-forged-address@lemongrass.org <br>
To: (这里你的地址被隐瞒以实现秘密邮件转发和骚扰) <br>
注意到"envelope From"的内容和消息From:的内容和消息To:的内容都是发送者指定的,因此他们都是不可靠的。这个例子说明了为什么信封From、消息From:及消息To:在可能是伪造的邮件中是不可靠的,因为它们太容易伪造了。 <br>
<br>
"Received:"头的重要性 <br>
<br>
在上面的例子中我们已经看到,"Received:"头提供了详细的消息传输历史记录,因此即使在其他邮件头是被伪造的情况下也可能根据"Received:"头得到某些关于该信件原始出处和传输过程的结论。这部分将详细探讨某些和异常的重要消息头相关的问题,特别是如何挫败那些常见的伪造技术。 <br>
<br>
毫无疑问的是,在"Received:"头中唯一重要且有价值的伪造防护就是由接收服务器记录的那些信息。前面提到发送者能伪造自己的身份( 通过在HELO命令中报告错误的身份)。幸运的是现代邮件服务器程序都可以检测到这种错误信息并加以修正。 <br>
<br>
如果服务器linuxaid.com.cn的真实IP地址是202.99.11.120,发送邮件给mail.zky.ac.cn,但是使用HELO galangal.org命令来伪造自己的身份,则对应该次传输的"Received:"可能如下所示: <br>
<br>
Received: from galangal.org ([202.99.11.120]) by mail.zky.ac.cn (8.8.5)... <br>
(后面的其他信息被省略以更加清晰)。注意虽然zky.ac.cn没有明确地说galangal.org不是发送者的真实身份,但是它记录了发送者正确的IP地址。如果某接收者认为消息头中的galangal.org是伪造者伪造的身份,他可以查看IP地址202.99.11.120来得到对应的正确域名是linuxaid.com.cn,而不是galangal.org。也就是说记录发送服务器的IP地址提供了足够的信息来确认可以的伪造行为。 <br>
很多现代邮件程序实际上将根据IP查看对应域名的过程自动化了。(这种查看过程被称为反向DNS解析)。如果mail.zky.ac.cn使用这种软件,则"Received:"头则变为 <br>
<br>
Received: from galangal.org (linuxaid.com.cn [202.99.11.120]) by mail.zky.ac.cn... <br>
<br>
从这里可以清楚地看到伪造行为。这个消息头明确地说linuxaid.com.cn的IP地址是202.99.11.120,但是却宣称自己的身份为galangal.org。这样的信息对于对于验证和追踪伪造信件是非常有用的。(因此,垃圾邮件发送者往往避免使用那些记录发送者地址的邮件服务器进行垃圾邮件转发。有时候它们可以找到不记录发送者服务器,但是现在网络上这样的服务器已经很少了) <br>
伪造者伪造邮件的另外一个日益常见的技巧是在发送垃圾邮件以前添加伪造的"Received:"头。这意味着从linuxaid.com.cn发送的假设的邮件的"Received:"头的内容可能为: <br>
<br>
Received: from galangal.org ([202.99.11.120]) by mail.zky.ac.cn (8.8.5)... <br>
Received: from nowhere by fictitious-site (8.8.3/8.7.2)... <br>
Received: No Information Here, Go Away! <br>
<br>
很明显,最后两行内容完全是毫无疑义的,是由发送者编写并在发送以前附在邮件中的。由于一旦邮件离开linuxaid.com.cn,发送者对邮件完全失去了控制。而且新的"Received:"头总是出现添加在消息的头部,因此伪造的"Received:"头总是出现在"Received:"头列表的尾部。这意味着任何人从头到尾读取"Received:"头列表,追踪邮件传输历史,都能安全地剔除在第一个伪造头以后的内容。即使"Received:"头看上去似乎是真实的,但是实际上都是伪造的。 <br>
当然,发送者不一定会用明显的垃圾信息来迷惑你,一个处心积虑的伪造者可能创建如下所示的看似真实的"Received:"头列表: <br>
<br>
Received: from galangal.org ([202.99.11.120]) by mail.zky.ac.cn (8.8.5)... <br>
Received: from lemongrass.org by galangal.org (8.7.3/8.5.1)... <br>
Received: from graprao.com by lemongrass.org (8.6.4)... <br>
<br>
这里泄漏伪造问题的唯一地方是第一个"Received:"头中的galangal.org的IP地址。如果伪造者这里填写了lemongrass.org和graprao.com 的真实IP地址,则这样的伪造伪造仍然非常难以检测。但是第一个"Received:"头中的域名和IP的不匹配仍然揭露了消息是伪造的,并且该邮件是有网络中地址为202.99.11.120的服务器注入到网络中。然而大多数邮件头伪造者一般都没有这么狡猾,一般额外添加的"Received:"头一般都很明显地是伪造的垃圾。 <br>
藤椅
发表于 2003-9-3 17:02:59 | 只看该作者

Re:Email邮件头揭密

good<br>
板凳
发表于 2003-9-17 09:51:20 | 只看该作者

Re:Email邮件头揭密

好!收藏
报纸
发表于 2004-2-16 09:37:34 | 只看该作者

Re:常见windows 2000系统进程描述

好东西呀!
地板
发表于 2004-3-31 11:20:47 | 只看该作者

Re:常见windows 2000系统进程描述

好,太感谢你了
7
发表于 2004-4-1 13:15:31 | 只看该作者

Re:常见windows 2000系统进程描述

我在中国企业网 总部 产品部 做邮箱产品,希望与大家交流:<br>
<br>
QQ 249148<br>
MSN:phenoling@hotmail.com
8
发表于 2004-4-7 10:19:51 | 只看该作者

Re:常见windows 2000系统进程描述

值得收藏!
9
发表于 2004-4-21 12:16:11 | 只看该作者

Re:常见windows 2000系统进程描述

好,不过就是字太多了。呵呵。没有时间去看。。
10
发表于 2004-4-29 21:16:16 | 只看该作者

Re:常见windows 2000系统进程描述

good!!!<br>
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

小黑屋|手机版|Archiver|邮件技术资讯网

GMT+8, 2024-12-23 13:44

Powered by Discuz! X3.2

© 2001-2016 Comsenz Inc.

本论坛为非盈利中立机构,所有言论属发表者个人意见,不代表本论坛立场。内容所涉及版权和法律相关事宜请参考各自所有者的条款。
如认定侵犯了您权利,请联系我们。本论坛原创内容请联系后再行转载并务必保留我站信息。此声明修改不另行通知,保留最终解释权。
*本论坛会员专属QQ群:邮件技术资讯网会员QQ群
*本论坛会员备用QQ群:邮件技术资讯网备用群

快速回复 返回顶部 返回列表